Tengo un blog, una newsletter o un foro: así me afecta la GDPR

El próximo 25 de mayo, el nuevo Reglamento General de Protección de Datos de la Unión Europea o GDPR pasa a ser de obligado cumplimiento tras haber entrado en vigor hace dos años. Ya os contamos cómo repercute esto en los usuarios, y ahora os vamos a explicar cómo te afecta si tienes un blog, una newsletter o un foro en los que manejas datos privados de los usuarios.

Y quieras o no, siempre que haya alguien que deje comentarios rellenando campos de información estarás obteniendo datos privados de esas personas, e incluso cuando no lo hacen, otros elementos de terceros como plugins o cookies también pueden estar haciéndolo. Por eso es importante saber cómo tratarlos, ya que de no cumplir la GDPR, pueden caer multas multas de hasta el 4% de la facturación global anual o 20 millones de euros, la cantidad que resulte superior.

Qué es la GDPR

El GDPR o General Data Protection Regulation por sus siglas en inglés, también conocido como RGPD por sus siglas en español (Reglamento General de Protección de Datos), es la nueva normativa que regula la protección de los datos de los ciudadanos que vivan en la Unión Europea. Es la primera norma de este tipo que afecta por igual a todos los países de la UE, suponiendo unas normas del juego unificadas que todos deben cumplir.

Durante años, muchas empresas y sectores como el tecnológico venían pidiendo una normativa de estas características, ya que al operar en Europa tenían que hacer frente a 28 legislaciones diferentes sobre el uso y tratamiento de datos personales. Por eso, el 24 de mayo de 2016 entraron en vigor estas normas unificadas que a partir del 25 de mayo del 2018 pasan a ser de obligado cumplimiento.

Gran parte del contenido de la GDPR se basa en reglas establecidas por medidas de privacidad anteriores de la UE, como el 'Privacy Shield' o la 'Data Protection Directive'. Sin embargo, amplía parte de lo que ya protegían en dos puntos fundamentales, unos mayores requisitos a la hora de obtener datos personales de los ciudadanos europeos y unas sanciones mucho más severas.

Ya tengas un blog, un foro o una newsletter, la GDPR impone una serie de normas generales que tienes que tener en cuenta en todos ellos. Son los siguientes que te listamos a continuación:

  1. Los datos de los usuarios tienen que almacenarse de forma segura.
  2. Tienes que explicar bien qué datos obtienes y qué haces con ellos.
  3. Tienes que tener permiso explícito e informado de los usuarios para cederte esos datos.
  4. Los usuarios tienen que poder acceder y/o eliminar los datos personales que tengas sobre ellos.
  5. Cualquier difusión no autorizada de datos personales (correo electrónico, nombre conectado con otros datos, etc.) hará que puedas ser demandado.
  6. Tienes que avisar en un plazo de 72 horas si has tenido algún incidente de seguridad.
  7. En los formularios de permisos, no puedes poner casillas premarcadas.

Aunque los países de la Unión Europea podrán sacar sus propias leyes de protección de datos, España tiene una nueva en proceso de tramitación parlamentaria, estas leyes no podrán contradecir las normas de la GDPR. Como mucho podrán definir algunos de los aspectos que dejen lugar a interpretaciones, como cuál es la edad a partir de la cual se considera menor a un usuario.

Cómo te afecta si tienes un blog

Según la consideración 18 de la GDPR, esta regulación no se aplicará cuando una persona esté aplicando datos en una actividad doméstica o personal sin conexión con actividades profesionales o comerciales. Esto quiere decir que si es un blog personal en el que hablas de tus vivencias no te afecta la legislación, pero si es uno en el que te promocionas o que llevas de forma profesional obteniendo ingresos sí tendrás que cumplir con la normativa.

Según esta ley europea, los datos personales son cualquier información que pueda hacer identificable a una persona. Esto incluye su nombre, su identificación, localización y muchos otros. En cuanto a procesado de datos, se refiere a su recolección, registro, almacenamiento, actualización o el hecho de compartirlos. En la mayoría de blogs, estas son las maneras en las que se suelen obtener los datos personales de los lectores.

  • Los datos de los comentarios de los posts (nombres, correo electrónico, IP)
  • Formularios de contacto
  • Complementos o herramientas de estadísticas de tráfico como Google Analytics
  • Servicios alojados en terceros como Jetpack, Bloglovin o Disqus
  • Formularios de suscripción de correo electrónico como Mailchimp o FeedBurner
  • Publicidad y cookies

Como propietario de un blog tienes varias responsabilidades. Por una parte tienes que asegurarte de tratar adecuadamente este tipo de datos, y cuando los almacenas en tu servidor debes hacerlo de forma segura. Como responsable del blog, también tienes que asegurarte de que todos los plugins que tienes instalados cumplen con las normas de la GDPR.

En cuanto al qué hacer, aunque Wordpress ya está trabajando en actualizar sus servicios para que sus usuarios cumplan con la GDPR, y posiblemente Google esté haciendo lo mismo con Blogger para almacenar bien los datos y que tengas que preocuparte lo mínimo posible, todavía hay una serie de cosas que tienes que asegurarte de hacer en tu blog para no tener ningún problema con esta normativa.

Para empezar, tienes que crear o actualizar tu política de privacidad y enlazarla en el menú principal de tu blog, sin olvidarte de listar los servicios de terceros que utilizas que también puedan recolectar datos. También tienes que añadir una casilla de selección en la que el usuario te permita expresamente almacenar la información que guardes, una casilla que nunca tiene que estar premarcada, y que enlace a la política de privacidad. En este documento de política de privacidad, tienes que dejar bien claros los siguientes puntos:

  • Quién es el que almacena sus datos
  • Qué datos se almacenan
  • Con quién se comparten
  • Cuánto tiempo los almacenas
  • Que los datos viajarán y se almacenarán encriptados
  • Dónde y cómo borrar sus datos de usuario.
  • Dónde y cómo solicitar sus datos.

También es aconsejable contactar con las empresas que desarrollan estos plugins de terceros de tu blog para asegurarte de que cumplen la normativa, y si no lo hacen eliminarlos para ahorrarte cualquier tipo de problema y buscar alguna alternativa.

En esta política de privacidad tienes que ser transparente, informando de qué tipo de datos recopilas y almacenas, y cuáles son las razones por las que lo haces con cada uno de ellos. Los usuarios también tienen que poder obtener una copia de los datos suyos que tienes, y disponer de la posibilidad de borrarlos o retirarte el permiso para seguir procesándolos. Todo ello de una manera clara y sencilla.

Si recopilas direcciones de correo electrónico como parte de una newsletter o servicio de suscripción, tienes que proporcionarle a los usuarios la posibilidad de desuscribirse de forma sencilla y visible. Verifica también que en los formularios de suscripción explicas qué datos recopilas y cómo los usas y almacenas. Y si utilizas Google Analytics, en sus opciones avanzadas tienes que activar la opción de anonimizar las IPs que obtiene.

Ten en cuenta también las cookies. Ya no es suficiente con el clásico banner que mostrábamos hasta ahora, y necesitarás una solución para bloquear las cookies locales y de terceros hasta que el usuario de su consentimiento revocable para poder utilizarlas. Los usuarios tienen que tener opción a negarse, por lo que no se les podrá denegar el acceso si no aceptan las cookies.

También hay una serie de recomendaciones básicas como la de tener actualizado WordPress y todos tus temas y plugins, y asegurarse de que ninguno de ellos esté abandonado por su autor, ya que de ser así no lo actualizará para cumplir con las normas. Y ya puestos, también es importante para la privacidad de tus usuarios que tu blog esté instalado en un https en vez de un http.

Te recuerdo que aunque no estés almacenando los datos de los usuarios en un servidor propio sino uno de terceros, los datos en sí se recopilan mediante los widgets o plugins de blog, por lo que no puedes dejar de preocuparte por ellos. De hecho, mejor si cumples con la GDPR aunque no creas que estás almacenando datos, porque siempre puedes tener algún servicio habilitado que lo esté haciendo.

Cómo te afecta si tienes una newsletter

A partir del 25 de mayo, todos los que realicen campañas por correo electrónico utilizando una base de datos, ya sean campañas publicitarias o correos de newsletters, también tienen que asegurarse de cumplir con el artículo 32 de la GDPR obteniendo sólo los datos de los usuarios que te hayan dado un permiso explícito e informado para hacerlo. También debes explicarles claramente cómo piensas usar sus datos personales.

Por lo tanto, el primer paso es del de enviarles un correo electrónico en el que les pidas el permiso explícito para seguir teniendo sus datos personales. Esta norma tiene carácter retroactivo, por lo que también le tendrás que enviar el mismo correo a los usuarios de los que ya tienes los datos, a no ser que en su día utilizases un formulario de registro en el que pidieras su permiso explícito sin casillas preseleccionadas.

Esto quiere decir que si en su día ya pediste los permisos de los usuarios para enviar las newsletters cumpliendo con las exigencias de la GDPR no tendrás que hacer nada, pero de no ser así tendrás que volver a pedirles permiso a los usuarios. Esto es algo especialmente útil contra todas aquellas entidades que usaban consentimientos tácitos o directamente no tenían consentimiento alguno.

Como en el caso de los blogs, en el correo también tienes que informar sobre tu política de privacidad. En ella, tienes que dejar claros los siguientes puntos:

  • Quién es el que almacena sus datos
  • Qué datos se almacenan
  • Con quién se comparten
  • Cuánto tiempo los almacenas
  • Que los datos viajarán y se almacenarán encriptados
  • Dónde y cómo borrar sus datos de usuario.
  • Dónde y cómo solicitar sus datos.

También es muy importante que les ofrezcas a los usuarios una forma clara y simple para desuscribirse de tu newsletter. Esto quiere decir que en tus comunicaciones tendrás que incluir un enlace visible para desuscribirse de la newsletter, y que también puedan resuscribirse de todas tus comunicaciones si tuvieras varias. De la misma manera, deben tener la posibilidad de ver y borrar los datos personales que tienes de ellos.

Herramientas de primer como MailChimp ya están actualizándose con nuevos campos y tutoriales con los que ayudarte a actualizar tus newsletters para cumplir con la nueva normativa. En el caso de cualquier duda, es importante que hables con los servicios que estés utilizando para las newsletters y que te asegures de que cumplas con la GDPR para evitar cualquier susto.

Cómo te afecta si tienes un foro

Igual que pasa con los blogs, si tu foro es de ámbito doméstico para que sólo participen un grupo de amigos no tienes que cumplir la GDPR. Sin embargo, sí tendrás que hacerlo cuando estés haciendo un foro a gran escala o con el que obtengas remuneración.

En este caso, cuando tienes que cumplir con las nuevas leyes europeas el primero paso será ponerte en contacto con tus usuarios y pedirles permiso explícito para seguir almacenando sus datos personales. En esos datos personales se incluyen campos como el correo electrónico, las IPs o el nombre que muchos usuarios pueden haber dado.

En ese mensaje, y preferiblemente también en un anuncio al que puedas ponerle un pin para que quede bien arriba y visible en el foro, debes enlazar a una nueva o actualizada política de privacidad que vas a tener que redactar. En ella, tienes que dejar claros los siguientes puntos:

  • Quién es el que almacena sus datos
  • Qué datos se almacenan
  • Con quién se comparten
  • Cuánto tiempo los almacenas
  • Que los datos viajarán y se almacenarán encriptados
  • Dónde y cómo borrar sus datos de usuario.

Con datos personales nos referimos a esos que pueden identificar a una persona. En el caso de los foros, los comunes suelen ser las direcciones IP y correos electrónicos, así como otros campos que suele haber en los perfiles de los foros como su lugar de residencia, nacionalidad, edad o nombre y apellidos. En la mayoría de foros, estas son las maneras en las que se suelen obtener los datos personales de los lectores.

  • El perfil de los usuarios (nombres, correo electrónico)
  • Los posts que escriban (nombres, correo electrónico, IP)
  • Formularios de contacto
  • Complementos o herramientas de estadísticas de tráfico como Google Analytics
  • Publicidad y cookies

Es importante que tengas en cuenta que, como responsable del foro, también tienes que mirar los posibles plugins o servicios de terceros que estés utilizando, y asegurarte de que también se hayan adaptado al GDPR para que no te generen a ti ningún problema.

También tienes que contactar con el servidor que estés utilizando para alojar el foro, a no ser que sea tuyo, así como los de la tecnología de bases de datos o CMS. Tienes que asegurarte de que todos ellos hayan actualizado sus términos de privacidad para entrar en la legalidad de la GDPR. Servicios como Joomla ya proporcionan guías con métodos y consejos para actualizarte.

Ten en cuenta también las cookies. Ya no es suficiente con el clásico banner que mostrábamos hasta ahora, y necesitarás una solución para bloquear las cookies locales y de terceros hasta que el usuario de su consentimiento revocable para poder utilizarlas. Los usuarios tienen que tener opción a negarse, por lo que no se les podrá denegar el acceso si no aceptan las cookies.

Como en el resto de casos, también vas a tener que proporcionarles a los usuarios una manera de saber qué datos suyos tienes, y permitirles revocarte el acceso para obtener estos datos, aunque eso suponga que tengan que dejar de utilizar el foro.

Algo rápido que puedes hacer es cerrar automáticamente la sesión de tus usuarios registrados, y cuando vayan a identificarse de nuevo mostrarles un mensaje con la información y el campo deseleccionado para permitirte seguir obteniendo y utilizando sus datos.

Ver todos los comentarios en https://www.xataka.com

VER 13 Comentarios

Portada de Xataka